32位模式下NASM与GCC

C文件依然没变：

1
2
3
4
5
6
7
8
9
10

#include <stdio.h>

extern int do_something(int);

int main(int argc, char const *argv[])
{
    int a = do_something(10);
    printf("%d\n", a);
    return 0;
}

汇编学习（1）

环境：Windows 11，WSL2（Ubuntu），MINGW-GCC，NASM

本日复盘

T1: MRCTF2019 Re/Shit

PE —— 导入地址表（IAT）

逆向时能直接看到源代码的题目还算比较少见，程序用到了PE中的IAT，花指令，而且如果源代码里没有decode函数的话，解密算法肯定也是一道难关= =。

Windows 调试（1）进程和线程

WinDBG 命令

1. 列出系统内所有进程的属性

Windows 内核加载器（NTLDR）

当一台计算机启动后，会读取引导驱动器（软盘，硬盘等等）的第一个扇区0x7c00处的代码，即MBR代码。然后，MBR代码搜索系统活动分区表，并加载分区引导记录PBR代码到内存中。PBR代码负责解析FAT或NTFS文件格式，并找到NTLDR。随后，从PBR代码转到NTLDR的前半部分——startup.com的代码中来。startup.com将会检测物理地址，开启A20地址线，重定位GDT、IDT，开启保护模式，加载osloader.exe。随后osloader.exe开始启动。